我们有兴趣提高公司电子邮件的安全级别,原因如下:1)保护内部信息免受泄漏。 2)邮件给客户将被签名。 3)标记邮件来自外部(防止社会工程攻击捕鱼的事情,或试图发出命令,而不是经理等)的方式。
作为一个解决scheme,我们正在考虑这个模式(我知道GPG非常好,所以我将使用这些术语来描述解决scheme):
1)所有内部电子邮件(从/到公司域)将使用员工的GPG密钥encryption发送,该密钥将由主密钥(整个公司的CA密钥)签名。
2)外部发送给客户的电子邮件只能使用员工的私钥进行签名,所以如果他们愿意,他们可以在我们的公共服务器上validation他的密钥是否有效。
3)任何检测到来自公司外部的邮件,都会附加额外的线路,说“外部邮件”或类似的东西。
在这种结构下工作的优势在于,如果员工辞职,被解雇,背叛或被盗,他们很容易通过公司的主要CA密钥撤销其有效性。 我不确定如何完全做到这一点,但对GPG有效。
当然,缺点是所有的员工都是愚蠢的,所以设置encryption是非常头痛的,并且要确保他们encryption每一个内部邮件。
我读了这些类似的问题:
最佳的Outook 2007 / Exchangeencryption客户端?
寻找电子邮件encryption解决scheme
第二个似乎对我们的需求过于复杂,但铁港听起来很有希望..但是我不能find任何有关他们的网站上 – 我看错了?
我还会提到,我们正在运行一个数据中心,因此我们可以在我们的场所中整合一个解决scheme。
那么,你觉得什么人呢? 和任何build议? 🙂
几年前有个梦想,每个人都会开始encryption邮件。 电子邮件客户端开始支持诸如S / MIME和PGP之类的东西。 结果是一场噩梦。 任何依靠用户做一些额外的工作以使其工作的安全解决scheme大多数时间都是失败的。 期望最终用户了解私钥和公钥以及encryption确实要求太高。
出现了一些共同的解决scheme,但是解决了这些问题。
首先,你可以做TLS。 如果有一个组织与您有很多业务往来,并且您希望在您的公司和他们的公司之间获得安全的电子邮件,则可以与他们的电子邮件员谈判TLS安排。 您如何实现这一点取决于您的邮件系统,但最终结果是您可以在两个站点之间执行TLS。 同时,您可以configuration您的传出MTA以尝试TLS到任何外部站点。 如果他们支持它,它会被使用。 如果不是,则使用常规的非encryptionSMTP。 这通常被称为“机会主义TLS”,并已变得非常普遍。
其次,许多电子邮件安全软件包现在支持某种encryption出站网关。 你提到铁港。 这是一个select,但也有其他像风滚草。 大多数托pipeSMTP网关也是这样(Postini / Google,MessageLabs等)。 在这种情况下,出站邮件通过系统或服务,并将特定的邮件标记为“需要安全”,然后转到基于Web的系统,发送安全邮件的通知,然后单击链接并阅读安全的消息在networking服务器上,并可以在那里回复。 如何将这些消息标记为需要安全性,有很多选项。 通常你可以创build一些filter来扫描邮件正文,比如社会安全号码,信用卡号码等等。 通常,用户还可以通过在消息正文中join特定的短语来强制消息的安全。
我相信目前还有其他的select,但是这两个是相当常见的,值得探讨。